Daggerfly APT 集團
一個與北京有聯繫、由國家資助的名為 Daggerfly 的駭客組織已針對台灣的組織和在中國活動的美國非政府組織 (NGO) 進行攻擊。他們在這些攻擊中使用了一套增強的惡意軟體工具。此次活動表明該組織也進行內部間諜活動。在攻擊該非政府組織期間,駭客利用 Apache HTTP 伺服器中的漏洞部署MgBot惡意軟體。
目錄
Daggerfly APT(進階持續性威脅)組織的威脅武器庫
Daggerfly,也稱為Bronze Highland 和Evasive Panda,自2012 年以來一直使用MgBot 模組化惡意軟體框架針對非洲電信服務供應商進行情報收集操作。能夠在盡量減少干擾的情況下繼續進行間諜活動。
最新的攻擊涉及源自 MgBot 的新惡意軟體系列和MACMA的增強版本,後者是2021 年11 月首次發現的macOS 惡意軟體。 。
這標誌著 MACMA 與特定駭客組織的首次明確聯繫,揭示了其獲取敏感資訊和執行任意命令的能力。有證據表明,MACMA 的創建者可能重複使用了 ELF/Android 開發人員的程式碼,也可能針對 Android 裝置。
MACMA 與 Daggerfly 的關聯進一步得到了 MgBot 原始碼重疊的支持,而且它與 MgBot dropper 也使用的命令與控制 (C2) 伺服器 (103.243.212.98) 進行通訊。
Daggerfly 利用的其他惡意軟體威脅
該組織的另一個新成員是 Nightdoor(也稱為 NetMM 和 Suzafk)。該植入程式利用 Google Drive API 進行命令與控制 (C2),並且至少自 2023 年 9 月起就已用於針對西藏用戶的水坑攻擊。
該小組已經展示了為主要作業系統開發其工具版本的能力。研究人員觀察到木馬 Android APK、簡訊攔截工具、DNS 請求攔截工具以及針對 Solaris 作業系統的惡意軟體的證據。
如何保護您的裝置免受惡意軟體威脅?
保護設備免受惡意軟體威脅需要採取多方面的方法,將技術、最佳實踐和使用者警覺性結合起來。以下是使用者應採取的保護其設備的最佳措施:
- 安裝並定期更新反惡意軟體:使用信譽良好的安全軟體來偵測和移除惡意軟體,確保其始終保持最新狀態,以防範最新威脅。此外,啟用即時掃描以監控連續存取的檔案和下載。
- 保持作業系統和軟體更新:啟用作業系統、瀏覽器和應用程式的自動更新,以便及時接收最新的安全性修補程式。如果無法存取自動更新,請定期檢查並手動安裝它們以維護安全。
- 使用防火牆:確保作業系統上的內建防火牆處於作用中狀態以阻止未經授權的存取。為了獲得額外的保護,特別是在家庭或企業網路上,請考慮使用硬體防火牆。
- 養成安全瀏覽習慣:避免造訪看似不可信或包含可疑內容的網站。從信譽良好的官方來源下載軟體,並避免點擊提供免費下載的彈出視窗或廣告,以最大限度地降低惡意軟體的風險。
- 使用強密碼和雙重認證 (2FA) :始終為不同帳戶使用足夠強的密碼並定期變更。使 2FA 具有另一個安全層,使潛在駭客的存取變得更加複雜。
- 謹慎對待電子郵件和附件:警惕旨在誘騙您洩露個人資訊或下載惡意軟體的網路釣魚電子郵件。不要存取電子郵件附件或點擊來自未知或可疑來源的連結。
- 定期備份資料:定期將重要資料備份到外部硬碟或雲端服務,確保您在遭受惡意軟體攻擊時可以復原資訊。定期確保您的備份完整並且可以成功恢復。
- 使用廣告攔截器和反追蹤工具:安裝廣告攔截器以降低遇到詐騙廣告的風險。此外,使用阻止追蹤腳本的瀏覽器擴充功能來保護您的瀏覽資料不被收集。
- 保護您的網路:變更路由器和其他網路裝置上的所有預設使用者名稱和密碼。對您的 Wi-Fi 網路使用強加密(WPA3 或 WPA2)並停用 WPS 以增強安全性。
- 教育自己和他人:隨時了解最新的安全威脅和最佳實踐。對家庭成員或員工進行安全線上行為和潛在威脅的教育,以確保每個人都了解並保持警惕。
透過在所有裝置上整合這些措施,使用者可能會降低惡意軟體感染的風險並顯著增強整體安全性。
